Юрист по персональным данным и 152-ФЗ: документы, сайт, Роскомнадзор и защита бизнеса

Персональные данные давно перестали быть вопросом «разместить политику в подвале сайта». Сейчас даже небольшая компания может столкнуться с требованиями Роскомнадзора, претензией клиента, проверкой сайта, обязанностью уведомить об обработке данных, спором с подрядчиком или последствиями утечки. Поэтому запрос «юрист по персональным данным и 152-ФЗ» обычно возникает не из любопытства, а когда бизнесу нужно привести документы в порядок и снизить риск штрафов.

Под действие 152-ФЗ попадают не только крупные IT-компании. Если на сайте есть форма заявки, запись на консультацию, чат, обратный звонок, регистрация в личном кабинете, рассылка, прием резюме, сбор данных сотрудников или клиентов, бизнес уже работает с персональными данными. При этом важны не только тексты документов, но и фактическая схема обработки: где хранятся данные, кто имеет доступ, какие сервисы подключены, кому передаются сведения и какие действия может подтвердить оператор.

Юрист нужен не только после проверки. Чаще всего помощь требуется заранее: перед запуском сайта, медицинской клиники, онлайн-школы, сервиса записи, интернет-магазина, CRM, чат-бота или рекламной воронки. Чем раньше проверены документы и технические процессы, тем проще избежать ситуации, когда политика на сайте не соответствует реальному сбору данных, согласие объединено с пользовательским соглашением, а уведомление в Роскомнадзор не подано.

• компания собирает заявки через сайт или мессенджеры;
• есть база клиентов, пациентов, учеников, покупателей или подписчиков;
• используются CRM, облачные сервисы, телефония, рассылки, онлайн-чаты и аналитика;
• данные передаются подрядчикам, маркетологам, колл-центру, хостингу или разработчику;
• получено письмо, запрос или требование Роскомнадзора;
• произошла утечка, взлом, ошибочная рассылка или публикация базы;
• нужно подготовить комплект документов по 152-ФЗ для сайта, сотрудников или проверки.

Правильный аудит начинается не с копирования шаблона политики, а с описания процессов. Нужно понять, какие категории данных собираются, у кого именно, на каком основании, для каких целей, сколько хранятся, кому передаются и через какие информационные системы проходят. Только после этого можно готовить документы, которые будут соответствовать реальной работе компании.

Обычно проверяются политика обработки персональных данных, согласия, формы сайта, уведомление в Роскомнадзор, договоры с подрядчиками, локальные акты для сотрудников, порядок обработки обращений субъектов, меры защиты, журналирование инцидентов, регламенты доступа и основания передачи данных третьим лицам. Отдельно смотрятся риски трансграничной передачи и локализации баз данных, если используются зарубежные сервисы или SaaS.

Единого «универсального комплекта» для всех нет. Для сайта с формой заявки нужен один набор, для клиники — другой, для работодателя — третий, для маркетплейса или онлайн-сервиса — четвертый. Но в базовый комплект обычно входят политика обработки персональных данных, согласие на обработку данных, согласие на получение рекламы или рассылки при необходимости, положение об обработке персональных данных, приказ о назначении ответственного, порядок доступа работников к данным, поручения обработчикам и инструкции на случай инцидента.

С 2025 года особенно важно проверять согласия. Согласие на обработку персональных данных должно быть самостоятельным и не должно прятаться внутри пользовательского соглашения, оферты или общего текста «согласен со всем». Для сайта это означает, что чекбокс, ссылка и сам документ должны быть оформлены так, чтобы можно было доказать осознанное и отдельное волеизъявление пользователя.

Самая частая ошибка — документы есть, но они не соответствуют реальности. Например, политика говорит, что данные не передаются третьим лицам, хотя заявки автоматически попадают в CRM, обрабатываются хостингом, отправляются в мессенджер менеджеру и используются для аналитики. Другая типовая ошибка — у сайта есть форма заявки, но нет отдельного согласия, а ссылка ведет только на политику. Еще один риск — отсутствие уведомления в Роскомнадзор, хотя компания обрабатывает данные клиентов и сотрудников с применением автоматизации.

Отдельная зона риска — подрядчики. Если данные получает разработчик, колл-центр, бухгалтерия, CRM-провайдер, сервис email-рассылки или подрядчик по рекламе, договор должен учитывать поручение обработки персональных данных. Иначе оператор остается ответственным перед субъектом, но фактически не контролирует, что с данными делает внешний исполнитель.

До проверки юрист помогает построить документальную и фактическую схему: какие формы использовать, какие согласия поставить, нужно ли подавать уведомление, какие договоры дополнить, как отвечать субъектам данных, что исправить в CRM и кто внутри компании должен отвечать за персональные данные. После претензии или запроса юрист помогает не отвечать лишнего, собрать подтверждающие документы, подготовить правовую позицию и снизить риск привлечения к ответственности.

Важно: задача юриста — не просто «написать политику», а сделать так, чтобы документы, сайт и реальная обработка данных не противоречили друг другу. Именно такие противоречия обычно становятся причиной замечаний.

Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.